安全|事实证明,“难以伪造”的数字驾照是容易伪造的
2019年底,澳大利亚新南威尔士州(NSW)政府推出了数字驾照 。新执照允许人们在路边警察检查时或在酒吧、商店、酒店和其他场所使用他们的iPhone或Android设备来展示身份和年龄证明 。这个被政府称为ServiceNSW的服务承诺--跟公民使用了几十年的塑料驾驶执照相比,数字版将提供额外的安全和保护进而防止身份欺诈的发生 。
文章图片
现在,在经过30个月时间的检阅之后,安全研究人员指出,几乎任何人都可以利用数字驾照(DDL)伪造假身份 。该技术允许未到饮酒年龄的人改变他们的出生日期并允许欺诈者伪造假身份 。这个过程只需不到一个小时且无需任何特殊的硬件或昂贵的软件,另外还能生成通过警察和参与场所使用的电子验证系统检查的假身份证 。
发现这些缺陷的研究员Noah Farmer在上周发表的一篇文章中写道:“明确地说,我们确实相信,如果数字驾照通过实施更安全的设计而得到改进那么代表ServiceNSW所作的上述声明确实是真实的,而且我们会同意,跟塑料驾照相比,数字驾照将提供额外的安全水平以防欺诈 。”
他继续写道:“当毫无戒心的受害者扫描欺诈者的二维码时,一切都会检查出来,受害者不会知道欺诈者将他们自己的身份照片跟某人被盗的驾驶执照细节相结合 。然而就过去30个月的情况来看,DDL使‘恶意用户有可能以最小的努力在已越狱和未越狱的设备上生成(一个)欺诈性的数字驾照,而无需修改或重新包装移动应用本身 。”
据悉,DDL需要一个iOS或Android应用以显示每个人的凭证 。同样的应用允许警察和场所验证凭证是否真实 。应用中旨在确认ID是真实的和当前的功能包括:
模拟的NSW政府logo;
显示最后刷新的日期和时间;
一个过期和重新加载的QR码;
一个在手机倾斜时移动的全息图;
一个跟执照照片相匹配的水印;
无需滚动的地址地址 。
文章图片
而克服这些保障措施的技术居然出奇得简单,关键就是能暴力破解加密数据的PIN码 。由于它只有四位数,只有一万种可能的组合 。使用公开的脚本和一台商品电脑有人就可以在几分钟内学会正确的组合 。
一旦欺诈者获得了某人的加密DDL许可证数据--无论是通过许可还是通过窃取存储在iPhone备份中的副本或通过远程妥协--蛮力使他们有能力读取和修改存储在文件中的任何数据 。
以下为在iPhone上的精确操作步骤:
使用iTunes备份,复制存储有欺诈者想要修改的凭证的iPhone内容;
从存储在电脑上的备份中提取加密文件;
使用暴力软件来解密该文件;
在文本编辑器中打开文件,修改出生日期、地址或其他他们想要伪造的数据;
重新加密该文件;
将重新加密的文件复制到备份文件夹中;
将备份恢复到iPhone上 。
【安全|事实证明,“难以伪造”的数字驾照是容易伪造的】这样一来,ServiceNSW应用就会显示假身份证并将其作为真品显示 。
推荐阅读
- 安全|事实证明,“难以伪造”的数字驾照并不难伪造
- 人物|马斯克再次警告人口崩溃:越有钱越不想生,“我是罕见的例外”
- 安全|杀毒软件巨头McAfee任命前Intuit高管为CEO
- 最新消息|瑞幸“起死回生”,Q1扭亏为盈
- 安全|搜狐员工遭遇工资补助诈骗登上热搜第一 张朝阳亲自回应
- 安全|搜狐共有24名员工被骗取四万余元 正在等待警方的调查进展和处理结果
- IT|全新一代荣威RX5内饰曝光:档把配有“大钻石”
- 安全|张朝阳回应搜狐全员收到“工资补助”诈骗邮件:没那么严重 损失总额少于5万
- IT|“上海滩”老爷车既视感 长城全新复古SUV“圆梦”曝光
- Tesla|马斯克收购推特成“马戏表演” 分析师预计特斯拉股价再跌一半